廣電BOSS系統(tǒng)-等級(jí)保護(hù)測(cè)評(píng)整改方案 (一)

數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)

等級(jí)保護(hù)整改方案

考試資料.

2022年12月

考試資料.

目錄

一、概述1

二、系統(tǒng)現(xiàn)狀1

2.1數(shù)字電視綜合運(yùn)營(yíng)支撐(BOSS)系統(tǒng)1

2.1.1系統(tǒng)描述1

2.1.2系統(tǒng)拓?fù)鋱D1

2.1.3系統(tǒng)構(gòu)成2

2.1.4系統(tǒng)測(cè)評(píng)結(jié)論3

三、整改依據(jù)4

四、整改內(nèi)容4

4.1數(shù)字電視綜合運(yùn)營(yíng)支撐(BOSS)系統(tǒng)4

4.1.1物理安全4

4.1.2基礎(chǔ)網(wǎng)絡(luò)安全5

4.1.3邊界安全6

4.1.4主機(jī)安全7

4.1.5總要求9

4.1.6安全管理機(jī)構(gòu)9

4.1.7人員安全管理12

4.1.8系統(tǒng)建設(shè)管理13

4.1.9系統(tǒng)運(yùn)維管理16

五、方案總結(jié)20

附件一：設(shè)備清單匯總21

附件二：管理制度及表單條目清單22

考試資料.

區(qū)50節(jié)點(diǎn)均音曙ZXR108905萬(wàn)兆路由交換機(jī)。具體網(wǎng)絡(luò)拓?fù)淙缦聢D所示：

圖1信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

2.13輟構(gòu)成

1）業(yè)務(wù)應(yīng)用軟件

表4信息系統(tǒng)'11/務(wù)應(yīng)用軟件

^<45稱(chēng)主要功能

數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）主要完成數(shù)字電視用戶(hù)信息的錄入、更新、認(rèn)證、

1

系統(tǒng)授權(quán)、計(jì)費(fèi)等功能

2）

表5信息系統(tǒng)主機(jī)/存睹設(shè)備

設(shè)備名稱(chēng)操作系統(tǒng)礴庫(kù)管理系統(tǒng)

收費(fèi)工作站

1WindowsXP/—

PC

數(shù)據(jù)庫(kù)服務(wù)器-1

2SOLARIS/Orade

IBMX3650M3

數(shù)據(jù)庫(kù)服務(wù)器-2

3SOLARIS/Orade

IBMX3650M3

考試資料.

設(shè)等8稱(chēng)i乍系統(tǒng)礴庫(kù)管理系統(tǒng)

接口服務(wù)器

4Linux/-

IBMX3650M3

測(cè)試服務(wù)器-1

5Linux/—

IBMX3650M3

測(cè)試服務(wù)器-2

6Linux/-

IBMX3650M3

認(rèn)證服務(wù)器

7-1Linux/-

IBMX3650M3

認(rèn)證服務(wù)器-2

8Linux/—

IBMX3650M3

3）網(wǎng)絡(luò)互聯(lián)設(shè)備

表6信息系統(tǒng)網(wǎng)絡(luò)互聯(lián)設(shè)備

設(shè)備s稱(chēng)用途

1鈉ZXR108908核心交換機(jī)

2眥ZXR108908匯聚交換機(jī)

2.1.4系統(tǒng)測(cè)嘀論

等級(jí)測(cè)評(píng)結(jié)論為“基本符合”，差距項(xiàng)分布如下表所示:

名稱(chēng)測(cè)評(píng)指標(biāo)部份符合項(xiàng)不符合項(xiàng)懸）風(fēng)險(xiǎn)項(xiàng)

物理安全400

基礎(chǔ)網(wǎng)絡(luò)安全200

技

術(shù)邊界安全030

要

求服務(wù)器安全310

應(yīng)用安全510

數(shù)據(jù)安全及備份恢復(fù)100

總要求000

管

理安全管理機(jī)構(gòu)500

要

求人員安全管理410

系統(tǒng)建設(shè)管理500

考試資料.

系統(tǒng)運(yùn)維管理1020

三整物理

1）GB17859-1999信息安全技術(shù)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)

則；

2）《廣播電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GD/J038-2022）

3）《E電視相關(guān)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GD/J044-2022）;

4）《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》；

5）《數(shù)字電視綜合運(yùn)營(yíng)支撐（BOSS）系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》；

41數(shù)字電視綜合運(yùn)營(yíng)克BOSS）系統(tǒng)

4.1.1物理安全

1.相關(guān)要求及飽§

詳見(jiàn)GD/J038-2022有關(guān)物理安全要求。

為滿(mǎn)足要求，通過(guò)部署防盜報(bào)警系統(tǒng)及火災(zāi)自動(dòng)報(bào)警系締口滅火系統(tǒng)，開(kāi)

展機(jī)房運(yùn)維管理和環(huán)境管理，提高機(jī)房的安全性。

類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)

況

考試資料.

b）需進(jìn)入播出機(jī)房的來(lái)

物理進(jìn)入機(jī)房由專(zhuān)人陪同，缺少

訪人員應(yīng)經(jīng)過(guò)申請(qǐng)和審\韶淵設(shè)置來(lái)訪人員進(jìn)

訪問(wèn)來(lái)訪人員進(jìn)入機(jī)房的審批記

批流程，并限制和監(jiān)控合行機(jī)房審批記錄

錄

苴活動(dòng)范圍

c）應(yīng)利用光、電等技術(shù)

鍋口不符合部署防盜報(bào)警系

設(shè)置機(jī)房防盜報(bào)警系機(jī)房缺少防盜報(bào)警系統(tǒng)\

統(tǒng)

壞統(tǒng)；

機(jī)房窗戶(hù)缺少防水防滲處

理，機(jī)房的窗戶(hù)、屋頂和墻

b）機(jī)房應(yīng)有防水防潮措

壁未浮現(xiàn)漏水、滲透和返潮

施，應(yīng)充分考慮水管泄不符合定期開(kāi)展機(jī)房運(yùn)

現(xiàn)象，機(jī)房?jī)?nèi)空調(diào)排水管進(jìn)\

漏和凝露的可能性，并維和環(huán)境管理

行加固防滲、防漏處理，機(jī)

做好相應(yīng)的預(yù)防措施；

幅房空調(diào)具有除濕功能，缺少

襁防7k由潮仆手里汜錄

d）機(jī)房應(yīng)設(shè)置溫、濕度

機(jī)房?jī)?nèi)具有專(zhuān)業(yè)空調(diào)，可對(duì)

自動(dòng)調(diào)節(jié)設(shè)施，使機(jī)房

機(jī)房?jī)?nèi)溫度進(jìn)行自動(dòng)調(diào)節(jié)，部份符增加機(jī)房濕度調(diào)

溫、濕度的變化在設(shè)備\

具有空調(diào)定期檢查和維護(hù)記合

運(yùn)行所允許的范圍之節(jié)設(shè)施

錄，缺少機(jī)房濕度控制設(shè)置

內(nèi)；

b）機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)

候機(jī)房?jī)?nèi)具有日常值守人員，部署火災(zāi)自動(dòng)報(bào)

消防系統(tǒng)，能夠自動(dòng)檢部份符

消防機(jī)房具有干粉滅火器，缺少\警系統(tǒng)和自動(dòng)滅

測(cè)火情、自動(dòng)報(bào)警，并合

躁自動(dòng)滅火設(shè)備軍統(tǒng)

自動(dòng)滅火；

4.1.2基礎(chǔ)網(wǎng)絡(luò)安全

1.相關(guān)要求及碰

詳見(jiàn)GD/J038-2022有關(guān)基礎(chǔ)網(wǎng)絡(luò)安全要求。

為滿(mǎn)足要求，通過(guò)部署動(dòng)態(tài)令牌及日志服務(wù)器并完善設(shè)備基本配置要求,

定期開(kāi)展設(shè)備維護(hù)，達(dá)到基礎(chǔ)網(wǎng)絡(luò)安全要求。

措施

類(lèi)別測(cè)評(píng)內(nèi)容結(jié)果記錄涉及資產(chǎn)圖烯施

C）應(yīng)保護(hù)審計(jì)記,避免

對(duì)日志進(jìn)行集中

受到未預(yù)期的刪除、修缺少對(duì)審計(jì)日志進(jìn)松

湎幾髓，建?跖分

改或者覆蓋等，審計(jì)記行必要用戶(hù)合

審計(jì)析

W至少保右Q0壬?

d）應(yīng)定期對(duì)審計(jì)記錄進(jìn)未定期對(duì)審計(jì)記錄交換機(jī)褚對(duì)日志進(jìn)行集中

考試資料.

行分析，以便及時(shí)發(fā)進(jìn)行分析合直里，段診

現(xiàn)異常行為；標(biāo)

e）當(dāng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)

程管理時(shí)，應(yīng)采用

旗

HTTPS、的遠(yuǎn)程管理設(shè)備時(shí)不采用SSH遠(yuǎn)程

螭交換機(jī)

遠(yuǎn)程管理手段,防止用采用telnet方式符管理

麻

戶(hù)身份鑒別信息在網(wǎng)絡(luò)合

傳輸過(guò)程中被竊聽(tīng)；

413邊界后

3.相關(guān)要求及依據(jù)

詳見(jiàn)GD/J038-2022有關(guān)邊界安全要求。

為滿(mǎn)足要求，通過(guò)修改配置，設(shè)置日志集中管理并定期分析，提供邊界安

全也

類(lèi)SU測(cè)評(píng)內(nèi)容結(jié)果記錄資產(chǎn)

帆

a）應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)

邊界處進(jìn)行惡意代碼檢

測(cè)和清除，并維護(hù)惡意

BOSS系統(tǒng)在邊界處

代碼庫(kù)的升級(jí)和檢測(cè)系稀

未設(shè)置惡意代碼防\

統(tǒng)的更新，播出整備系合

羈范措施在網(wǎng)絡(luò)邊界部署

統(tǒng)、播出系統(tǒng)等播出直

碼惡意代碼防范設(shè)

接相關(guān)系統(tǒng)的邊界可根

備

腕據(jù)需尊講行部署

b）防惡意代碼產(chǎn)品應(yīng)與

BOSS系統(tǒng)在邊界處

信息系統(tǒng)內(nèi)部防惡意代神

未設(shè)置惡意代碼防\

碼產(chǎn)品具有不同的惡意合

范措施

代碼庫(kù)

a）應(yīng)在信息系統(tǒng)的網(wǎng)絡(luò)

邊界處監(jiān)視以下攻擊行

為：端口掃描、強(qiáng)力攻

BOSS系統(tǒng)在邊界處

擊、木馬后門(mén)攻擊、拒襁在網(wǎng)絡(luò)邊界部署

未設(shè)置入侵謹(jǐn)防措\

腕絕服務(wù)攻擊、緩沖區(qū)溢合入侵防范設(shè)備

施

出攻擊、IP碎片攻擊和

網(wǎng)絡(luò)蠕蟲(chóng)攻擊等，播出

整備系統(tǒng)、播出系統(tǒng)等

考試資料.

信息系統(tǒng)的邊界可根據(jù)

至要講行部客

BOSS系統(tǒng)與CA系

a）應(yīng)在與外部網(wǎng)絡(luò)連接綴VOD.twta

襁

的網(wǎng)絡(luò)邊界處進(jìn)行數(shù)據(jù)連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)\

合

通信行為審計(jì)邊界處進(jìn)行數(shù)據(jù)通

信的行為進(jìn)行審計(jì)

BOSS系統(tǒng)與CA系

b）審計(jì)記錄應(yīng)包括事件

統(tǒng)VOD、營(yíng)業(yè)廳相

的曰期、時(shí)間、用戶(hù)名、禰

連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)\在與外部網(wǎng)絡(luò)連

IP地址、事件類(lèi)型、事合

邊界處進(jìn)行數(shù)據(jù)通接的網(wǎng)絡(luò)邊界處

件是否成功等

信的行為進(jìn)行審計(jì)進(jìn)行數(shù)據(jù)通信行

BOSS系統(tǒng)與CA系為審計(jì)，并對(duì)審計(jì)

c）應(yīng)保護(hù)審計(jì)記錄，避

統(tǒng)VOD、營(yíng)業(yè)廳相日志進(jìn)行集中管

免受到未預(yù)期的刪除、襁

連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)\理和日常分析

修改或者覆蓋等，審計(jì)合

邊界處進(jìn)行數(shù)據(jù)通

記錄至少保存90天

信的行為進(jìn)行審計(jì)

BOSS系統(tǒng)與CA系

d）應(yīng)定期對(duì)審計(jì)記錄進(jìn)統(tǒng)VOD,營(yíng)業(yè)廳相

松

行分析，以便及時(shí)發(fā)現(xiàn)連，缺少對(duì)系統(tǒng)網(wǎng)絡(luò)\合

異常行為邊界處進(jìn)行數(shù)據(jù)通

信的行為進(jìn)行審計(jì)

4.1.4主機(jī)后

1.相關(guān)要求及磁

詳見(jiàn)GD/J038-2022有關(guān)主機(jī)要求。

為滿(mǎn)足要求，通過(guò)修改主機(jī)安全配置，設(shè)置登陸口令復(fù)雜度限制、登陸失

敗措施、開(kāi)啟安全審計(jì)、定期升級(jí)率潮口打補(bǔ)丁，提高主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)的

措施

類(lèi)SU測(cè)評(píng)內(nèi)容記錄資產(chǎn)TJQ整嵋施

dt&-

a）應(yīng)對(duì)登錄操作系統(tǒng)和收費(fèi)工作站

技術(shù)部多人使用同

數(shù)據(jù)庫(kù)系統(tǒng)的用戶(hù)進(jìn)行數(shù)據(jù)庫(kù)服務(wù)器-1/2每個(gè)自然人對(duì)應(yīng)

身份-1理員賬戶(hù)，不同襁

身份標(biāo)識(shí)和鑒別，應(yīng)為接口服務(wù)器蛹避

鑒用戶(hù)未分配不同的合

不同用戶(hù)分配不同的用測(cè)試服務(wù)器-1/2免賬戶(hù)共享情況

用戶(hù)名

戶(hù)名，不能多人使用同認(rèn)科艮務(wù)器-1/2

考試資料.

一用戶(hù)名；數(shù)據(jù)庫(kù)系統(tǒng)-1/2

收費(fèi)工作站

對(duì)操作系統(tǒng)和數(shù)

轆庫(kù)月器器-1/2

操作系統(tǒng)和數(shù)據(jù)庫(kù)系據(jù)庫(kù)配置用戶(hù)口

b）接口服務(wù)器

統(tǒng)管理用戶(hù)身份標(biāo)識(shí)應(yīng)操作系統(tǒng)缺少口令令有效期的強(qiáng)制

測(cè)試服務(wù)器-1/2襁

具有不易被冒用的特獻(xiàn)嬴詢(xún)復(fù)提醒與更新功能，

認(rèn)證服務(wù)器-1/2合

點(diǎn),口令應(yīng)有復(fù)雜度要雜性限制使口令設(shè)置時(shí)系

數(shù)據(jù)庫(kù)系統(tǒng)-1/2

求并定期更換；統(tǒng)具有復(fù)雜度檢

數(shù)字電視綜合運(yùn)營(yíng)支撐

查和長(zhǎng)度限制

（BOSS）系統(tǒng)

收費(fèi)工作站

轆庫(kù)月蹤器-1/2

c）應(yīng)啟用登錄失敗處理接口服務(wù)器啟用登錄失敗處

功能，可采取結(jié)束會(huì)話(huà)、操作系統(tǒng)未啟用登測(cè)試服務(wù)器-1/2襁理功能，口令嘗試

限制非法登錄次數(shù)和自表失敗處理功能認(rèn)論艮鎘-1/2合超過(guò)規(guī)定次數(shù)鎖

動(dòng)退出等措施；數(shù)據(jù)庫(kù)系統(tǒng)-1/2定賬戶(hù)

數(shù)字電視綜合運(yùn)營(yíng)支撐

（BOSS）系統(tǒng)

為操作系統(tǒng)管理

員和數(shù)據(jù)庫(kù)管理

C）應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)操作系統(tǒng)和數(shù)據(jù)庫(kù)

柿員崗位配備不同

據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)的權(quán)管理員由同一人擔(dān)數(shù)據(jù)庫(kù)系統(tǒng)-1/2

合應(yīng)際,同時(shí)?1卜充

限分離；任，權(quán)限未分離

相應(yīng)人員崗位職

貴

啟用本地安全審

計(jì)功能或者部署

轆庫(kù)月甥?器-1/2

安全審計(jì)應(yīng)覆蓋到服官計(jì)功能未開(kāi)啟或堡壘機(jī)等第三方

a）接口服務(wù)器

特務(wù)器和重要客戶(hù)端上的者審計(jì)不全面，未和審計(jì)系充，

測(cè)試服務(wù)器-1/2合

審計(jì)每一個(gè)操作系統(tǒng)用戶(hù)和期對(duì)市計(jì)記錄進(jìn)渣登錄登出、

認(rèn)證服務(wù)器-1/2

數(shù)據(jù)庫(kù)用戶(hù)；行分析權(quán)限變更、重要

數(shù)據(jù)庫(kù)系統(tǒng)-1/2

文件增刪行為等

事件內(nèi)容

1過(guò)置專(zhuān)自

a）操作系統(tǒng)遵循最小安收費(fèi)工作站

十設(shè)門(mén)5

裝的原則，僅安裝需要癱庫(kù)月躇器-1/2

t級(jí)務(wù)器系

入侵的組件和應(yīng)用程序，并系統(tǒng)補(bǔ)丁未及時(shí)升接口服務(wù)器襁

服等文

合E

璇通過(guò)設(shè)置升級(jí)服務(wù)器等級(jí)測(cè)試服務(wù)器-1/2保對(duì)操

方式的寺系統(tǒng)補(bǔ)丁及時(shí)認(rèn)謝員^^-1/2持作

得到更新婁據(jù)庫(kù)系統(tǒng)-1/2安補(bǔ)丁

仝的__________

應(yīng)部署具有統(tǒng)一管理功收費(fèi)工作站

時(shí)更新，并補(bǔ)旗

能的防惡意代碼軟件，轆庫(kù)月蹤器-1/2

惡意操作系統(tǒng)未部署具善相關(guān)系統(tǒng)升級(jí)

并定期更新防惡意代碼接口服務(wù)器不

代碼

軟件版本和惡意代碼有統(tǒng)一管理功能的制度和升級(jí)記錄

濺式服輻-1/2符合

腕防惡意代碼軟件

庫(kù)；新聞制播系統(tǒng)、播認(rèn)由艮鐳-1/2

出整備系統(tǒng)、播出系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)-1/2建議操作系統(tǒng)安

裝企業(yè)者網(wǎng)

絡(luò)版殺毒軟件

進(jìn)行統(tǒng)一管理

考試資料.

等播出直接相關(guān)系統(tǒng)的

核心服務(wù)器可根據(jù)需要

進(jìn)行部署和更新。

4.1.5總要求

1.相關(guān)要求及依據(jù)

詳見(jiàn)GD/J038-2022有關(guān)總要求。

為齷要求，制定《信息安全工作的總體方銅陵全策略》《管理制窗窿作

規(guī)程》《安全管理制度體系》等制度達(dá)到目的或者檢查要求。

頰測(cè)評(píng)內(nèi)容資產(chǎn)整改措施

械

a）應(yīng)制定信息安全工作補(bǔ)充《信息安全工作的總

的總體方針和安全策體現(xiàn)杯帙全策略》，主要

缺少信息安全工作的總襁

略，說(shuō)明安全工作的總/合內(nèi)容包括機(jī)構(gòu)安全工作的

體目標(biāo)、范圍、原則和體方針和安全策略文件總體目標(biāo)、范圍、方針、

方仝炸如摩?一而mil和存仝框況

關(guān)于成立信息安全保護(hù)

工作的通知余廣電

b）應(yīng)成立指導(dǎo)和管理信

[2022]42號(hào)，明確成補(bǔ)充《信息安全管理工作

息安全工作的領(lǐng)導(dǎo)小部

立了信息安全工作的領(lǐng)/的職能部」》，押醐觥

組，設(shè)立信息安全管理份

導(dǎo)小組，但未設(shè)立信息部門(mén)的職責(zé)

總工作的職能部門(mén)；符

要安全管理工作的職能部合

門(mén)

c）應(yīng)制定各項(xiàng)信息安全

制度和操作規(guī)程，明確

制定各項(xiàng)安全管理制度和

信息安全管理各項(xiàng)要

操作規(guī)程

求，形成由安全方針、缺少各項(xiàng)安全管理制

制定信息安全管理制度體

管理制度、細(xì)化流程等/

度義檔，缺少全面的信系文件，制度體系由總體

構(gòu)成的全面的信息安全

息安全管理制度體系方針、安全策略、管理制

管理制度體系，使等級(jí)

度、操作規(guī)程等構(gòu)成

保護(hù)工作常態(tài)化、制度

化。

4.1.6號(hào)裁曬

1.相關(guān)要求及依據(jù)

考試資料.

詳見(jiàn)GD/J038-2022有關(guān)管理機(jī)構(gòu)要求。

為齷要求，俏曾群批8璘峻》、《輟窗弊批記思、住全旗

制陵》、佞金跡理^度》神卜^《蜀立耳靖》、儂金命i稼》等

制度，保障系統(tǒng)的安全。

E圖Q

類(lèi)別測(cè)評(píng)內(nèi)容記錄涉及資產(chǎn)整改措施

炳

b）應(yīng)設(shè)立信息安全管理設(shè)立信息安全組織機(jī)

工作的職能部門(mén)，負(fù)責(zé)構(gòu)，負(fù)責(zé)信息安全各項(xiàng)部份補(bǔ)充崗位職責(zé)，明確安全

/

信息安全各項(xiàng)工作的組工作的組織和落實(shí)符合管理員的職責(zé)，配備專(zhuān)職

織和落實(shí)，配備專(zhuān)職安天配備專(zhuān)職的安全管理的安全管理員

全管理員；員

b）應(yīng)設(shè)立信息安全管理天設(shè)立信息安全組織機(jī)

工作的職能部門(mén)，負(fù)責(zé)楮設(shè)立信息安全組織機(jī)構(gòu)，

構(gòu)/

信息安全各項(xiàng)工作的組合明確機(jī)構(gòu)的職責(zé)，配備專(zhuān)

天配備專(zhuān)職的安全管理

織和落實(shí)，配備專(zhuān)職安職的安全管理員

員

崗位仝管理員;_____________

SB補(bǔ)充部門(mén)職責(zé)和崗位職

責(zé)，主要內(nèi)容包括：安全

主管、各個(gè)方面的負(fù)責(zé)人

的崗位職責(zé)的具體設(shè)置，

d）應(yīng)制定文件明確安全缺少職能部門(mén)的職責(zé)襁主要內(nèi)容包括：網(wǎng)絡(luò)管理

管理機(jī)構(gòu)各個(gè)部門(mén)和崗/員、機(jī)房管理員、系統(tǒng)管

和崗位職責(zé)文件合

位的職責(zé)。理員、安全管理員、數(shù)據(jù)

庫(kù)管理員,審計(jì)員、應(yīng)用

系統(tǒng)管理員等齒位的具體

設(shè)置，并清晰、明確各個(gè)

崗位的職責(zé)范圍

增加《系統(tǒng)管理審批管理

b）應(yīng)釗對(duì)系統(tǒng)變更、重制度》：主要內(nèi)容包括明確

缺少審批管理制度（系

要操作、物理訪問(wèn)和系對(duì)系統(tǒng)投入運(yùn)行、網(wǎng)絡(luò)系

統(tǒng)變更、重要操作、物神

統(tǒng)接入等事項(xiàng)建立審批/統(tǒng)接入和重要資源的訪

授權(quán)理訪問(wèn)和系統(tǒng)接入等事合

程序，按照審批程序執(zhí)問(wèn)、變更管理、產(chǎn)品采購(gòu)

和審項(xiàng)），缺少逐級(jí)審批的文

行審批過(guò)程，對(duì)重要活等關(guān)鍵活動(dòng)的審批部門(mén)和

批檔

動(dòng)建立逐級(jí)審批制度；批準(zhǔn)人進(jìn)行規(guī)定，明確審

卅淋理

）應(yīng)定期審查審批事項(xiàng)，襁增加《逐級(jí)審批的文檔》

c/

及時(shí)更新需授權(quán)和審批缺少審批管理制度文檔合對(duì)審批過(guò)程進(jìn)行記錄，增

考試資料.

的項(xiàng)目、審批部門(mén)和審力口《審批事項(xiàng)的審查記

批人等信息;朝,包括^竄頁(yè)審批

缺少關(guān)鍵活動(dòng)的審批過(guò)襁部門(mén)、審批人的變更進(jìn)行

d）應(yīng)記錄審批過(guò)程并保

/評(píng)審等內(nèi)容，對(duì)關(guān)鍵活動(dòng)

存審批文檔。程記錄合

的審批進(jìn)行^策

大定